Unix-commands-auditd

提供:Dev Guides
移動先:案内検索

auditd-Unix、Linuxコマンド

link:/unix_commands/index [previous] link:/unix_commands/index [next] [[1]] php [AddThis Social Bookmark Button]

NAME

概要

*auditd-f-l-n-s disable | enable | nochange*

説明

  • auditdausearchaureportauditctl /etc/audit/audit.rules auditctlauditd.conf *

オプション

Tag

説明

-f

デバッグ用に監査デーモンをフォアグラウンドに残します。 メッセージは、監査ログではなくstderrにも送信されます。

-l

監査デーモンが設定ファイルのシンボリックリンクをたどることを許可します。

-n

フォークなし。 これは、inittabから実行するのに便利です。

-s = ENABLE_STATE

auditdがカーネル有効フラグの現在の値を変更するかどうかを開始するときに指定します。 ENABLE_STATEの有効な値は、「disable」、「enable」または「nochange」です。 デフォルトでは有効になっています(auditdが終了すると無効になります)。 有効フラグの値は、auditctl -eを使用してauditdの有効期間中に変更できます。

信号

Tag

説明

シグアップ

auditdを再構成します。 これは、auditdが構成ファイルを再読み取りすることを意味します。 構文エラーがない場合、要求された変更の実装に進みます。 再構成が成功すると、DAEMON_CONFIGイベントがログに記録されます。 成功しない場合、エラー処理は、auditd.confのspace_left_action、admin_space_left_action、disk_full_action、disk_error_actionパラメーターによって制御されます。

SIGTERM

auditdが監査イベントの処理を中止し、シャットダウン監査イベントを書き込んで終了するようにしました。

SIGUSR1

auditdがすぐにログをローテーションします。 max_log_size_actionを調べて、ログを保持するかどうかを確認します。

SIGUSR2

auditdにロギングの再開を試行させます。 これは通常、ロギングが中断された後に使用されます。

ファイル

*/etc/audit/auditd.conf*
*/etc/audit/audit.rules* -起動時に読み込まれる監査ルール

ノート

監査デーモンは、audisp-remote audispdプラグインを介して他の監査デーモンから監査イベントを受信できます。 監査デーモンをtcp_wrappersとリンクして、接続できるマシンを制御できます。 この場合、hosts.allowとdenyにエントリを追加できます。

関連項目

  • リンク:/unix_commands/audispd [audispd(8)]
  • リンク:/unix_commands/ausearch [ausearch(8)]
  • リンク:/unix_commands/aureport [aureport(8)]
  • リンク:/unix_commands/auditctl [auditctl(8)]

著者

link:/unix_commands/index [previous] link:/unix_commands/index [next] link:/cgi-bin/printversion.cgi?tutorial = unix_commands&file = auditd [Printer Friendly]

  
Advertisements